setodaNote

忘れる用のメモ書き for Cybersecurity

Titan Security Key をセキュリティキーに使う

Titan Security Key は USB タイプのものと Bluetooth タイプのものの2つがセットになって販売されています。 これを紹介している記事に「両方を2段階認証に設定するのではなく、片方は設定することなく安全な場所に保管しておくことを Google は推奨している」 と読み取れる説明がなされているものがあり、 気になったので使い方について調べてみました。

結論としては Google は「両方とも2段階認証に設定しておき、片方は安全な場所に保管しておく」という使い方を推奨しているものと理解しました。

Titan Security Key とは

  • 2要素認証プロセスで利用可能な物理デバイス
  • FIDO 標準に準拠したシステムで動作する
  • Google が設計したファームウェアを内蔵するハードウェアチップが組み込まれている
  • Google Storeから購入できる

購入可能なサイト

f:id:soji256:20190901130117p:plain
Titan Security Key  |  Google Cloud

Google アカウントのセキュリティキーに設定する

設定方法については Google が提供しているヘルプを参照するのがよいと思います。

2つあるがそれぞれは別のキーで代替にはならない

Titan Security Key は Bluetooth 機能のあるものとないものの2つがセットになっていますが、 それぞれ別のキーなので一方がもう一方の代わりにはなりません。

2段階認証の手段として設定することなくキーを保管している場合、 常用しているキーを紛失した際にアカウントにアクセスする手段として使うことはできないため、 あまり意味がないように思います。

キーの紛失や破損に備えて両方を2段階認証プロセスに登録しておき、 どちらか一方を常用し、もう一方を安全な場所に保管しておくというのが合理的なように思います。

Google からの案内文など

購入サイトの文言

Titan Security Key の購入ページにある関連文章は以下の通り。

Each key bundle comes with a physical USB security key and a Bluetooth security key – one for your primary use and one for safe keeping.

https://store.google.com/product/titan_security_key_kit

日本語翻訳文

各キーバンドルには、物理的な USB セキュリティ キーとBluetooth セキュリティ キーが付属します。どちらか一方を主に使用し、もう一方は安全に保管してください。

https://store.google.com/product/titan_security_key_kit

高度な保護機能プログラムの動画

以下は Google の高度な保護機能プログラムの利用方法についての紹介動画ですが、 2つの物理キーを登録しておき、一方を安全に保管するという使い方を案内しています。

 
以上を踏まえると、Google が推奨している利用方法としては 「両方とも2段階認証として設定しておき、片方は安全な場所に保管しておく」 という使い方だと理解するのが自然なように思います。

注意事項

対応ブラウザに Safari は含まれていない

記事執筆時点で Titan Security Key に対応しているWebブラウザは以下の5つで、Safari は含まれていませんでした。

  • Chrome
  • Firefox
  • Opera
  • Edge

Chrome、Firefox、Opera、Edge については 手元の環境でも Titan Security Key を使った2段階認証が動作することを確認できました。

設定後にすべての端末がログオフされる場合がある

Titan Security Key を2段階認証に設定することで、すべての端末がログオフされるという記事がありました。 設定時にはログオフがされる前提で対応を考えておいたほうがよいかもしれません。

なお、手元の環境ではモバイル端末で利用している Gmail アプリは ログオフされることなく継続利用できていました。

参考文献

Google 公式

その他

感想

物理セキュリティキーと比べるとSMSによる2段階認証は遠隔からのなりすましを受けやすいので脆弱ということになるんでしょうか。 いつか非推奨になったりするのかな。

付録:「Titan セキュリティ キー」へのサイドチャネル攻撃について

2021年1月に、NinjaLab がサイドチャネル攻撃によって Titan セキュリティキー 複製を作成できたとして、次のような解析記事を掲載しています。

Our work describes a side-channel attack that targets the Google Titan Security Key’s secure element (the NXP A700X chip) by the observation of its local electromagnetic radiations during ECDSA signatures (the core cryptographic operation of the FIDO U2F protocol). In other words, an attacker can create a clone of a legitimate Google Titan Security Key.

更新履歴

  • 2019/09/01 新規作成
  • 2020/08/31 一部の削除されていたページについて記載に反映。
  • 2021/01/10 付録「「Titan セキュリティ キー」へのサイドチャネル攻撃について」を追記。